张雷
摘 要:以P2P技术为代表的网络应用在当今网络平台上被广泛应用,使办公资源网出带宽变得相当拥塞、网络安全问题加剧。因此,有必要在网络管理中引入流量控制技术。本文介绍了流量控制涉及到的流量识别和流量管理技术,在办公资源网中引入流量控制技术,实现流量可视化管理。
关键词:流量识别;流量控制;流量管理
1 前言
随着互联网的迅猛发展,网络平台应用越来越广泛,网络办公已成为单位日常办公的重要组成部分。对于一般性的办公资源网(非设密性网络)来说,承载的单位的OA系统、邮件系统、财务系统等办公应用系统,通过这些应用来完成单位的标准化工作。与此同时在网络中还运行着网络电话、网络视频、网络游戏等对网络实时性有较高要求的应用,出现了P2P(Peer to Peer)下载等对网络带宽抢占能力极强的应用,而这些应用通常是与日常办公无关的,将办公资源网的带宽消耗掉,从而无法保证网络用户关键业务的服务质量。
因此通过适当的流量控制技术,针对不同的网络业务应用制定出相应的策略,保障关键应用流畅运行的同时,解决带宽增长与业务收益、网络扩容与用户体验之间的矛盾。
2 一般性办公资源网络出口流量分析
通过对若干个未做任何流量控制的办公资源网的出口带宽进行监测,发现如下情况:p2p应用流量占出口流量65%、Internet占出口流量10%、IM即时通信占出口量流量5%、其他TCP/UDP协议占出口流量10%、流媒体占出口流量10%。
通过对上述网络流量的详细分析,这些网络出口流量具有如下特点:
2.1 关键业务的运行质量无法保障
基于WEB的OA及邮件系统是办公资源网用户的关键应用之一,由于P2P应用大量抢占带宽资源,导致用户无法及时同过OA和邮件系统收发信息,正常的办公流程被中断,帮工效率下降。另外单位的视频会议系统对网络质量要求较高,传输过程中任何一个环节出现瓶颈,都会影响视频会议的服务质量。
2.2 P2P应用消耗大量带宽
P2P应用依靠对等网络技术传输数据,让所有的客户端都能提供资源。比如P2P下载软件在下载文件的同时会将本机作为一台种子资源,也就是说即使完成了文件下载,这台主机仍然在占用网络带宽向外传输数据,网络带宽就这样被悄悄地消耗着。
3 网络流量识别
为了对办公资源网中的流量进行控制,需要能够识别网络流量中存在哪些应用。一般我们可以通过IP包头的“五元组”信息来确定流量的基本信息。但是随着网络技术的发展,许多网络应用已采用随机端口、甚至采用加密传输,因此基于四层的流量识别技术无法准确识别出应用。目前常用的流量识别技术大致有如下三类:
⑴基于应用层签名的流量识别技术,通过对获得的数据包进行解析和还原协议,进行特征字符串匹配,实现应用级分类,借助于特征字符串的精确匹配,所以识别精度较高,可以为实施流量监控策略提供准确的信息。但是随着应用开始采用有效载荷加密技术,使得应用层签名特征的提取陷入困境。
⑵基于流量特征的应用流量识别技术,利用应用的流量特征,不需要解析和还原协议,也不需要分析具体的有效载荷,因此能够识别未知的和加密的流量,同时算法的性能较高。
⑶基于双重特征的应用流量识别技术,它首先对流量进行基于优先权的应用层签名特征匹配,然后用会话行为映射对第一步未识别出的流量进行相应的判别。
4 网络流量控制管理技术在办公资源网中的应用
通过网络流量识别技术将网络流量划分成不同的应用类型,从而可以采用QoS控制方法。根据不用的应用策略对数据包进行转发,为不同的应用提供不同的服务质量。目前有两种主流的流量管理技术,TCP滑动窗口整形和队列缓存。TCP协议使用一种滑动窗口的机制来控制数据包的传输,接收方主动通知对方它能接收多少数据量,让远端(发送方)主动降速,而非通过本地丢包实现降速,能够避免产生大量的重传数据包。但是TCP滑动窗口整形技术无法控制UDP报文。另外一种队列缓存技术,其核心理念是建立很多管道(pipe),不同类型的流量对应不同的管道,通过调整不同管道值的大小,让各种流量有序的通过。因此,就流量管理技术来说,能够将TCP滑动窗口整形技术和队列缓存相结合,是比较完善的解决方案,无论什么样的流量环境中,都可以取得良好的控制精度。
根据我们对若干个办公资源网出口流量的分析,我们针对不同的应用对网络流量进行分类,依据不同的办公需求制定出相应的策略,建议将策略制定如下:⑴保障OA、邮件等办公系统,将这些数据设定高优先级,为其保障40%的出口带宽。⑵WEB应用作为用户对网速体验最直接的应用,将以为其保障30%的出口带宽。⑶对P2P应用进行分类限制,封掉某些不常用的P2P下载及视频软件,保留一些常用的P2P软件,并对这些P2P软件实行流量限制,使其在办公时段流量不超过总带宽的30%、P2P的session不超过总session的10%,在非办公时间则放开对P2P应用的限制,使带宽得到充分利用。
5 总结和思考
流量控制技术在办公资源网中的使用起到了不错的效果,解决带宽不合理占用、网络数据拥塞,使整个办公资源网成为一个快速、高效、稳定的网络。但是同时网络流量控制技术也存在一些问题,如技术缺陷,在识别网络应用上存在一定程度的误判,从而影响到正常的应用。同时由于流量控制技术需要对网络中的数据流量进行分析,可能会涉及到数据隐私的问题,需要在相关的政策文件或得到授权的情况下进行。